Halaman Utama
Berita
Butiran

Drift Protocol Mengalami Pencurian $285J melalui Kunci Pentadbir yang Dicuri

iconChainthink
Kongsi
Share IconShare IconShare IconShare IconShare IconShare IconCopy
This is the logo of the coin.
USDC
$0.99980.05%
This is the logo of the coin.
ETH
$2,353.340.74%
This is the logo of the coin.
SOL
$84.88-0.05%
AI summary iconRingkasan

expand icon
Drift Protocol, bursa niaga hadapan teratas di Solana, mengesahkan serbuan bursa pada 1 April 2026, dengan $285 juta dicuri melalui kunci pentadbir yang telah disusupi. Perompak mengosongkan token JLP, USDC, WSOL, dan cbBTC, setelah menguji eksploit itu beberapa minggu sebelumnya. Drift menghentikan deposit dan penarikan selepas serangan itu. Dana yang dicuri ditukar kepada koin stabil dan dipindahkan melalui Wormhole ke ethereum, dengan 19.913 ETH dibeli. Kemas kini protokol dari Drift belum menerangkan penyelesaian jangka panjang.

Drift memotong luka yang paling tidak ingin dihadapi oleh industri ini.

1 April, Hari Ketupat.

Pertukaran kontrak berterusan terbesar di rantai Solana, Drift Protocol, sedang ditimbun, dan tindakan pertama komuniti ialah, "Cerita April Mop yang bagus."

Ini bukan lelucon. Sekitar pukul 1:30 petang, akaun pemantauan rantai Lookonchain dan PeckShield hampir serentak memicu amaran: sebuah wallet asing bermula dengan "HkGz4K" sedang menarik aset dengan kelajuan menakjubkan dari simpanan Drift. Pertama, 41 juta token JLP, bernilai US$155 juta. Seterusnya, 51.6 juta USDC, 125 ribu WSOL, 164 ribu cbBTC... selusin aset mengalir keluar seperti air dalam bathtub yang dicabut sumbatnya.

Satu jam. Aset gudang turun dari $309 juta ke $41 juta. Lebih daripada separuh TVL, menguap.

Pasukan Drift telah memuat satu tweet di X dengan nada yang jarang sekali mendesak: "Drift Protocol sedang mengalami serangan aktif. Setoran dan penarikan telah dihentikan. Kami sedang berkoordinasi dengan pelbagai syarikat keselamatan, jambatan lintas rantai, dan bursa untuk mengawal situasi ini."

Kemudian, pernyataan yang pasti akan dicatat dalam sejarah kripto: "Ini bukan lawak 1 April."

Satu kunci, membuka semua pintu

Jumlah digital yang dicuri dari Drift berbeza mengikut sumber. PeckShield menganggarkan sekitar $285 juta, Arkham memberikan lebih daripada $250 juta, manakala penilaian awal CertiK berada sekitar $136 juta. Namun, sama ada nombor mana pun yang sah, ini merupakan insiden keselamatan DeFi terbesar sejak awal 2026.

Yang lebih patut diperhatikan selain nombor ialah cara serangan.

Pendiri PeckShield, Jiang Xuxian, berkata secara terus terang kepada Decrypt: "Kunci pentadbir di belakang Drift jelas telah bocor atau ditembus." Gambaran serangan yang dirangkai oleh penyelidik rantai menunjukkan bahawa perompak memperoleh akses istimewa kepada protokol Drift, seterusnya mengawal aliran dana dalam simpanan.

Dengan kata lain, tiada pemanfaatan lubang keamanan kontrak pintar yang canggih, tiada serangan pinjaman kilat, tiada manipulasi orak. Ia hanyalah kegagalan keselamatan yang paling asas dan lama, seseorang kehilangan kunci peribadinya.

Perincian yang lebih mengganggu ialah: penyerang bukan bertindak secara spontan. Data rantai menunjukkan bahawa dompet ini menerima dana awal melalui Near Intents 8 hari sebelum serangan berlaku, kemudian berada dalam keadaan senyap. Seminggu sebelum serangan, ia bahkan menerima pemindahan kecil bernilai $2.52 dari tabung Drift. Satu ujian, satu "ketukan pintu".

Satu minggu kemudian, pintu itu dikacaukan.

Kegagalan Robinhood versi kripto

Bagi Cindy Leow, rakan penubuh Drift, mimpi buruk pada 1 April mempunyai latar belakang yang lebih kejam.

Kisah usahawan Cina Malaysia ini pernah menjadi salah satu naratif inspirasi terbaik dalam Solana DeFi. Bermula dengan arbitrage Bitcoin antara China dan Korea pada 2016, beliau pernah menjalankan dana swasta dan menyumbang projek derivatif di Ethereum, sebelum bersama David Lu menciptakan Drift pada 2021, dengan mempertaruhkan kelebihan kelajuan Solana untuk kontrak berterusan di rantai.

Dari garis masa, Drift hampir menangkap setiap gelombang. Pada tahun 2024, ia memperoleh dua putaran pendanaan yang dipimpin oleh Polychain dan Multicoin, dengan jumlah total sebesar $52.5 juta. Ia meluncurkan pasaran ramalan untuk bersaing dengan Polymarket, memperkenalkan leverage 50 kali, TVL melebihi $5.5 miliar, dan jumlah perdagangan kumulatif melebihi $50 miliar. Dalam wawancara dengan Fortune, Leow menggunakan penempatan yang ambisius: ingin menjadi "Robinhood versi kripto".

Perbandingan ini kini terdengar penuh perasaan campur aduk. Janji utama Robinhood adalah memberikan akses kepada orang biasa terhadap alat keuangan Wall Street. Janji utama Drift adalah memberikan pengalaman perdagangan "non-custodial" di rantai, di mana uang anda tidak melalui tangan siapa pun, tetapi hanya berinteraksi dengan kod.

Namun, di sebalik kod, terdapat kunci pentadbir. Keselamatan kunci ini akhirnya bergantung kepada manusia, bukan kriptografi.

Di sini juga terdapat kebetulan sejarah yang menyakitkan. Pada tahun 2022, era Drift v1 pernah mengalami insiden di mana kas ditarik habis. Tim kemudian menerbitkan laporan teknis yang sangat terperinci, bahkan mempublikasikan sepotong kod bukti konsep yang menunjukkan bagaimana penyerang mampu mengosongkan keseluruhan kas dalam satu transaksi. Kerugian dalam insiden itu berjumlah $14.5 juta, dan tim membayar ganti rugi kepada pengguna sepenuhnya dari dana sendiri.

Empat tahun kemudian, mimpi buruk yang sama berulang dengan skala 20 kali ganda.

Kepercayaan terhadap desentralisasi, kelemahan terpusat

Keluarkan pandangan anda dari Drift, dan anda akan melihat satu pola yang tidak selesa sedang terbentuk.

Pada awal 2025, perkhidmatan pengurusan kunci AWS milik Resolv Labs telah ditembusi, di mana penyerang menggunakan kunci istimewa untuk mengesahkan operasi pencetakan besar-besaran stabelcoin USR, yang memicu kerugian berantai merentas platform. Pada tahun yang sama, jumlah keseluruhan pencurian kripto sepanjang 2025 mencapai rekod tertinggi sepanjang sejarah iaitu USD3.4 bilion; laporan Chainalysis secara khusus menunjukkan perubahan tren: peristiwa paling merosakkan berlaku pada aras infrastruktur. Mesin pembangun yang diserang, kunci pencetakan tunggal yang disimpan di awan, dan proses tanda tangan yang dimanfaatkan melalui social engineering—inilah black hole yang benar-benar menelan dana.

Sekarang tambah Drift.

Jika anda meletakkan kes-kes ini bersama-sama, satu kesimpulan hampir tidak dapat dielakkan: Keselamatan kunci peribadi telah menggantikan lubang keamanan kontrak pintar sebagai risiko sistemik terbesar dalam DeFi.

Terdapat jurang pemahaman yang begitu besar sehingga mampu menelan puluhan miliar dolar.

Cerita yang diceritakan oleh protokol DeFi kepada orang luar ialah "pengasingan pusat", "tidak disimpan oleh pihak ketiga", dan "tanpa perlunya kepercayaan". Aset anda disimpan oleh kod, dan tiada pihak perantara yang boleh menyentuh wang anda. Pengguna mendengar cerita ini, menyimpan wang mereka ke dalam protokol-protokol ini, dan berfikir bahawa "saya sedang berurusan dengan matematik".

Namun, kenyataannya hampir setiap protokol DeFi yang beroperasi memiliki satu atau beberapa "kunci ilahi"—kunci admin, kebenaran untuk mengemas kini, kuasa kawalan rekening, dan suis jeda kecemasan. Kehadiran kunci-kunci ini, kadang-kadang bertujuan untuk keselamatan (untuk boleh berhenti kecemasan jika berlaku masalah), dan kadang-kadang untuk fleksibiliti (untuk mengemas kini logik kontrak), tetapi esensinya sama: satu titik kepercayaan terpusat yang dibalut dalam naratif terdesentralisasi.

Pengguna menganggap mereka berinteraksi dengan kod. Sebenarnya, mereka sedang mempercayai seseorang, atau sekelompok kecil orang, yang tidak akan membuat kesilapan, tidak akan menjadi mangsa phising, tidak akan dipaksa, dan tidak akan meninggalkan komputer riba mereka di kafe pada waktu malam.

Ini bukan masalah eksklusif Drift, tetapi kontradiksi struktural seluruh industri DeFi.

285 juta dolar AS pergi ke mana

Tindakan penyerang di rantai bersih dan tepat, dengan ketenangan seorang profesional.

Selepas menarik aset dari Drift Vault, beliau dengan cepat menukar sebahagian besar token kepada stablecoin, kemudian menghantar dana tersebut ke rangkaian Ethereum melalui jambatan lintas rantai Wormhole. Di Ethereum, beliau menggunakan sebahagian stablecoin untuk membeli kira-kira 19,913 ETH (bernilai sekitar USD 42.6 juta), dengan baki dana disebarkan ke beberapa alamat wallet.

Satu butir detail yang aneh: dompet penyerang juga memegang banyak Fartcoin, yang mewakili sekitar 2.5% daripada jumlah edaran token tersebut. Seorang perompak yang baru sahaja menyelesaikan pencurian DeFi terbesar sepanjang tahun, kini memegang sekumpulan meme coin yang dinamakan berdasarkan kentut.

Pada masa penulisan, penarikan dan setoran Drift masih dihentikan, dengan token DRIFT jatuh dari sekitar $0.072 sebelum serangan ke sekitar $0.05, menurun lebih dari 28%. Dari titik tertinggi sejarahnya di $2.60, penurunan kumulatif melebihi 98%. Dompet Phantom telah menampilkan peringatan kepada pengguna yang mencoba mengakses Drift.

Pasukan Drift menyatakan sedang berkoordinasi dengan syarikat keselamatan, pengendali jambatan lintas rantai, dan bursa terpusat untuk cuba membekukan dan melacak dana yang dicuri. Tetapi jika sejarah boleh menjadi rujukan, kebarangkalian untuk mengekstrak semula dana yang telah dipindahkan melalui jambatan lintas rantai dan disebarkan ke pelbagai dompet tidaklah optimis.

Satu soalan yang industri ini mesti hadapi dengan jujur

Drift memotong luka yang paling tidak ingin dihadapi oleh industri ini.

Chainalysis dalam laporan akhir 2025 sebelumnya menyatakan dengan optimis bahawa keselamatan DeFi mencapai "kemajuan signifikan", walaupun TVL berlipat ganda kepada $11.9 bilion, kerugian akibat perompak DeFi justru menurun. Kes Venus Protocol dijadikan contoh positif: sistem pemantauan keselamatan mengesan anomali 18 jam sebelum serangan berlaku, protokol segera menghentikan operasi, mekanisme tata tertib membekukan dana penyerang, dan penyerang bahkan mengalami kerugian.

Drift meruntuhkan "narasi kemajuan" ini. Anda boleh melakukan audit kontrak pintar hingga sempurna, dan menerapkan pemantauan berbasis rantai paling canggih, tetapi sekiranya kunci pentadbir direbut melalui sosial rekayasa, penipuan phising, atau serangan brute force, seluruh infrastruktur keselamatan akan seperti benteng yang dibina di atas pasir.

Industri DeFi perlu berhenti sebentar dan menjawab dengan jujur satu soalan: Apa yang sebenarnya anda maksudkan apabila anda berkata "non-custodial" kepada pengguna?

Jika kunci admin protokol boleh memindahkan semua aset dalam simpanan kapan saja, apa bezanya dengan menyimpan wang di akaun bank seseorang yang tidak anda kenali? Sekurang-kurangnya, bank mempunyai insurans, pengawasan, dan hak tuntutan undang-undang.

Mungkin jawapannya bukanlah mencabut kekuasaan pentadbir ini, kerana dalam banyak kes, kehadiran mereka adalah perlu. Tetapi sekurang-kurangnya, industri seharusnya berhenti berpura-pura bahawa mereka tidak wujud. Tata kelola multi-tandatangan, penguncian masa, modul keselamatan peranti keras, pergantian kunci... penyelesaian teknikal ini telah wujud selama bertahun-tahun, tetapi terlalu banyak protokol masih menggantungkan keselamatan ratusan juta dolar AS pada kewaspadaan satu atau dua operator manusia.

Impian "Robinhood versi kripto" memang indah. Tetapi sebelum mewujudkannya, mungkin perlu menjawab soal yang lebih asas terlebih dahulu: Siapa yang menyimpan kunci itu?

Sumber:Tunjukkan artikel asal
Penafian: Maklumat yang terdapat pada halaman ini mungkin telah diperoleh daripada pihak ketiga dan tidak semestinya menggambarkan pandangan atau pendapat KuCoin. Kandungan ini adalah disediakan bagi tujuan maklumat umum sahaja, tanpa sebarang perwakilan atau waranti dalam apa jua bentuk, dan juga tidak boleh ditafsirkan sebagai nasihat kewangan atau pelaburan. KuCoin tidak akan bertanggungjawab untuk sebarang kesilapan atau pengabaian, atau untuk sebarang akibat yang terhasil daripada penggunaan maklumat ini. Pelaburan dalam aset digital boleh membawa risiko. Sila menilai risiko produk dan toleransi risiko anda dengan teliti berdasarkan keadaan kewangan anda sendiri. Untuk maklumat lanjut, sila rujuk kepada Terma Penggunaan dan Pendedahan Risiko kami.